https://virgool.io/feed/@mr1021 fa 2026-06-10 12:51:02 https://static.virgool.io/images/default-avatar.jpg https://virgool.io/@mr1021 https://virgool.io/@mr1021/google-authenticator-pmw40xzgpkkw در دنیایی که حتی رمزهای یک‌بارمصرف هک‌شدنی است، استفاده از اپلیکیشن‌های احرازهویت دوعاملی برای امنیت اکانت‌ها حیاتی است. در این مقاله، با طرز‌کار Google Authenticator آشنا خواهید شد.دنیایی را تصور کنید که در آن هر هکر مبتدی و تازه‌کاری می‌تواند به‌راحتی تمام حرکاتتان را زیرنظر بگیرد، به تماس‌هایتان گوش کند، متن پیامک‌هایتان را بخواند و حساب‌های بانکی‌تان را در چند دقیقه خالی کند؛ تازه بدون اینکه نیاز باشد از خانه خارج شود و حتی شاید یک قاره آن‌طرف‌تر باشد. البته نیازی به تصور و خیال‌پردازی نیست؛ چون همین حالا در چنین دنیایی زندگی می‌کنیم؛ آن‌هم به‌دلیل حفره‌‎ی امنیتی در پروتکلی به نام ss7 (سیستم سیگنالینگ شماره ۷) که تمام کشورهای دنیا در شبکه موبایل خود از آن استفاده می‌کنند.سال‌ها است هکرها به کمک این حفره امنیتی و تنها با داشتن شماره‌موبایل فرد توانسته‌اند به متن پیامک‌ها و تماس‌های تلفنی و موقعیت مکانی او دسترسی داشته باشند. در یکی از موارد استراق سمع پیامک، هکر توانسته با دسترسی به کدهای «احرازهویت دوعاملی» که به گوشی هوشمند قربانی فرستاده شده است، به‌راحتی وارد اکانت او شود و امنیتش را با تهدید جدی مواجه کند.زمانی تصور می‌شد استفاده از رمزهای پویا که ازطریق پیامک فرستاده می‌شود، از بیشترین درجه امنیت برخوردار است؛ اما هکرها به‌کمک حفره‌‎ی امنیتی در پروتکل SS7 یا روش‌های دیگر می‌توانند به این رمز دسترسی پیدا کنند؛ از‌این‌رو، متخصصان حوزه امنیت سایبری به فکر راه‌حلی برای محافظت از کدهای احرازهویت دوعاملی (two-factor authentication) یا همان 2FA افتاده‌اند.در این روش، رمز پویا دیگر به کاربر پیامک نمی‌شود؛ بلکه ازطریق اپلیکیشن روی گوشی نمایش داده می‌شود و تنها راه دسترسی هکر به این کد، دسترسی فیزیکی به گوشی است. اپلیکیشن‌های متعددی در این حوزه توسعه یافته‌اند؛ اما یکی از مطمئن‌ترین و ساده‌ترین آن‌ها، Google Authenticator است که در این مقاله، آن را کاملا معرفی خواهیم کرد و نحوه استفاده از آن را برای محافظت از حساب‌های بانکی و ایمیلی و شبکه‌های اجتماعی شرح خواهیم داد.Google Authenticator چیست ؟احرازهویت دوعاملی همان‌طورکه از نامش برمی‌آید، روشی است که در آن کاربر برای ورود به حساب آنلاین یا اپلیکیشن مدنظر، علاوه‌بر همان رمزعبور همیشگی، باید عامل دیگری نیز برای تأیید هویت خود وارد کند. متخصصان امنیت سایبری عوامل احرازهویت را به سه گروه تقسیم‌بندی می‌کنند:‌ ۱. چیزی که می‌دانید (مثلا رمزعبور)؛ ۲. چیزی که دارید (مثلا گوشی موبایل)؛ ۳. چیزی که هستید (مثلا اثر‌انگشت یا هر روش زیست‌سنجی دیگر). در روش 2FA، به‌جای یک عامل (چیزی که می‌دانید)، دو عامل (چیزی که می‌دانید + چیزی که دارید)، یعنی رمزعبور و دسترسی به گوشی، در نظر گرفته می‌شود تا بدین‌ترتیب از نفوذ هکرها به حساب‌های آنلاین جلوگیری شود.بیان ساده‌تر، احرازهویت دوعاملی لایه امنیتی اضافه‌ای است که در آن، کدی منحصر‌به‌فرد در اپلیکیشنی خاص روی گوشی موبایل یا سایر دستگاه‌های هوشمند کاربر نمایش داده می‌شود. داشتن این کد به‌همراه رمزعبور و نام کاربری، برای ورود به حساب‌هایی ضروری است که روش 2FA در آن‌ها فعال شده.یکی از اپلیکیشن‌های برتر این حوزه Google Authenticator است که شرکت نام‌آشنای گوگل آن را طراحی و منتشر کرده و برای هر وب‌سایت یا خدماتی کابردی است که قابلیت احرازهویت دوعاملی داشته باشد. برای مثال، تمام شبکه‌های اجتماعی و وب‌سایت‌های بزرگ و مطرح مانند توییتر، اینستاگرام، فیسبوک، جیمیل و شماری از حساب‌های رمزارز مانند کوین‌بیس و بایننس از 2FA پشتیبانی می‌کنند و فعال‌کردن این روش برای محافظت از این حساب‌ها حیاتی است.اپلیکیشن Google Authenticator رمزعبور یک‌بار‌مصرف شش‌رقمی تولید می‌کند که هر ۳۰ ثانیه تجدید می‌شود. محدودیت زمانی این کد بدین‌معنی است که اگر مجرم سایبری موفق شد به طریقی به کد یک‌بار‌مصرف شما دسترسی پیدا کند، این کد تنها ۳۰ ثانیه اعتبار دارد و بعد از گذشت این زمان دیگر اثری نخواهد داشت.Google Authenticator و اپلیکیشن‌های نظیر آن هیچ‌گونه دسترسی به حساب‌هایتان ندارند و بعد از انتقال اولیه کد، ارتباطی با سایت مدنظر برقرار نمی‌کنند. کار این اپلیکیشن فقط تولید کد است و برای این کار به خدمات مخابرات یا حتی اینترنت نیازی ندارد.علاوه‌بر‌این، از‌آنجا‌که پروتکل استفاده‌شده این اپلیکیشن‌ها مبتنی‌بر استاندارد یکسانی است، می‌توان کدی که در Google Authenticator ایجاد شده، برای ورود به هر حسابی از‌جمله مایکروسافت استفاده کرد. به‌عبارت‌دیگر، این کدها فقط به محصولات گوگل محدود نیستند و در هر وب‌سایت یا خدماتی کاربردی هستند که از روش 2AF پشتیبانی می‌کنند. در‌مقایسه‌با اپلیکیشن‌هایی با کارکرد مشابه، تنها از دو قابلیت کلی، یعنی همان تولید کد 2AF و اکسپورت اطلاعات اکانت‌ها به گوشی دیگر،‌ پشتیبانی می‌کند؛ به‌همین‌دلیل، کار با آن بسیار ساده است. کافی است با نام کاربری و رمزعبور خود طبق معمول وارد اکانت دلخواهتان شوید. سپس به بخش مربوط به فعال‌کردن قابلیت 2AF بروید و کد QR نمایش‌داده‌شده را با این اپلیکیشن اسکن کنید. با این کار، اکانت شما به اپلیکیشن متصل می‌شود و از‌این‌پس برای ورود به اکانتتان لازم است کدی را وارد کنید که در اپلیکیشن ظاهر می‌شود.برای راحتی کار، نحوه فعال‌کردن 2FA را برای اکانت گوگل به‌طور ساده در‌ادامه توضیح داده‌ایم. وب‌سایت‌های دیگر نیز از مراحل تقریبا مشابهی پیروی می‌کنند و تنها کافی است بخش مربوط به فعال‌کردن two-factor authentication را پیدا کنید که معمولا در بخش Security (امنیت) اکانت قرار دارد.هشدار: حتی اگر فعال‌کردن 2FA کار خسته‌کننده‌ای به‌نظر می‌آید، بهتر است این قابلیت را برای هر اکانتی فعال کنید که از آن پشتیبانی می‌کند. اگر شما این کار را نکنید، ممکن است هکری که به رمزعبور اکانتتان دسترسی پیدا کرده‌، این کار را انجام دهد. در این حالت، اگرچه بازیابی اکانت غیرممکن نیست، مطمئنا زمان بیشتری از شما می‌گیرد و تا زمانی‌که کنترل اکانتتان در دست هکر است، احتمال دارد دردسرهای زیادی برایتان ایجاد کند.همچنین، توجه کنید دسترسی‌نداشتن به موبایلی که اپلیکیشن Google Authenticator روی آن راه‌اندازی شده‌، به‌معنی دسترسی‌نداشتن به اکانت‌هایی است که به این اپلیکیشن متصل شده‌اند. توصیه می‌کنیم این اپلیکیشن را روی گوشی دیگری نیز نصب یا از اکانت‌های متصل کدهای بکاپ دریافت کنید. mr1021 mr1021 Sun, 05 Mar 2023 11:06:55 +0330 https://virgool.io/@mr1021/%D8%B1%D9%85%D8%B2-%D9%BE%D9%88%DB%8C%D8%A7-%DA%86%DA%AF%D9%88%D9%86%D9%87-%D8%A7%DB%8C%D8%AC%D8%A7%D8%AF-%D9%85%DB%8C%D8%B4%D9%88%D8%AF-%D9%88-%DA%86%DA%AF%D9%88%D9%86%D9%87-%DA%A9%D8%A7%D8%B1-%D9%85%DB%8C%DA%A9%D9%86%D8%AF-yjjc4e1jkfus در حال حاضر بانک‌هرمز پویا چیست؟رمز یک‌بار مصرف، رمز پویا یا OTP (مخفف One-Time Password) رمزی است که گیلبرت ورنام، مهندس آزمایشگاه‌های بل در سال ۱۹۱۹ ابداع کرد و تنها برای یک ورود یا انجام تراکنش اعتبار دارد. این رمز نهایتا ۶۰ ثانیه معتبر است و پذیرش آن توسط بانک در یک بازه‌ی زمانی مشخص، تنها یک‌بار صورت می‌پذیرد. مشکل رمز ایستا آنجا بغرنج می‌شود که اکنون مشاهده می‌کنیم، افراد برای کارت‌های متعدد خود از یک رمز ثابت استفاده می‌کنند.رمز پویا درواقع نوعی «احراز هویت چند عاملی» (MFA) است که بسیاری از ما تجربه‌ی کارکردن با آن را هنگام استفاده از سرویس‌های ایمیل و پیام‌رسان‌ها داریم. به‌کارگیری این رمز بسیاری از معایب رمز ایستا را رفع می‌کند. بنا به ادعای مایکروسافت، استفاده از احراز هویت چندعاملی کاربران را دربرابر ۹۹/۹ حملات مصون می‌کند. گوگل نیز ادعا می‌کند با استفاده از تأیید چندمرحله‌ای، می‌توان جلوی ۹۹ درصد حملات فیشینگ را گرفت. به‌گفته‌ی سردار سید کمال هادیان فر، رئیس پلیس تولید و تبادل اطلاعات ناجا (فتا)، برداشت‌های غیرمجاز از حساب بانکی افراد در سال ۹۶ نسبت به سال ۹۵ بیش از ۶۱ درصد افزایش داشته و فیشینگ عامل شکل‌گیری یک‌سوم جرائم سایبری در کشور است.رمز پویا چگونه ایجاد می‌شود و چگونه کار می‌کند؟در حال حاضر بانک‌ها اپلیکیشن‌های ویژه‌ای را در وب‌سایت خود معرفی کرده‌اند. برای فعال‌کردن رمز پویا نیاز است که افراد به وب‌سایت کارت بانکی خود مراجعه کرده و نسبت به فعالسازی آن اقدام کنند. پس از آن لازم است، هر بار هنگام خرید یا انتقال وجه آنلاین، کاربر هم‌زمان اپلیکیشن مذکور را باز کرده و مدت زمان معینی تا نهایت ۶۰ ثانیه برای آن مشخص می‌کند و سپس تراکنش موردنظر خود را انجام دهد. به این صورت می‌توان اطمینان حاصل کرد که امکان هیچ‌گونه سوءاستفاده از کارت شخص وجود نخواهد داشت. اپلیکیشن بانک‌ها این رمز را با استفاده از الگوریتم پیچیده‌ای تولید می‌کند که دسترسی به آن برای هکر‌ها بسیار پیچیده یا حتی غیرممکن است. به‌علاوه بانک‌ها می‌توانند ازطریق پیامک نیز برای ارسال رمز اقدام کنند. امید است در آینده امکان ارسال کد یک بار مصرف ازطریق USSD (ارسال پیام از طریق کد دستوری) نیز در تمام بانک‌ها فراهم شده تا جمع روش‌های کسب رمز یک‌بار مصرف موجب شود تا تمام کاربران حتی کسانی که گوشی غیرهوشمندی استفاده می‌کنند یا درکل گوشی در اختیار یا در دسترس ندارند، از خدمات غیرحضوری بهره ببرند. علاوه‌بر این، می‌توان روش‌هایی مانند استفاده از اپلیکیشن تأیید هویت برای تمامی بانک‌ها را به کار گرفت تا تمام کارها در یک اپلیکیشن انجام شود. اما مشخص است که هنوز تا آن زمان فاصله داریم.الگوریتم‌های تولید رمز OTP به‌طور معمول از اعداد تصادفی، شبه‌تصادفی یا توابع درهم‌ساز استفاده می‌کنند تا کار حدس رمز را برای هکر دشوار کنند. انجام چنین کاری بسیار حائز اهمیت است چرا که در غیر این صورت، پیش‌بینی رمزهای یک‌بار مصرف در آینده با مشاهده‌ی رمزهای قبلی ساده‌تر می‌گردد. رمزهای یک‌بار مصرف در سرتاسر دنیا به روش‌های مختلفی اعم از تلفن، پیامک، توکن اختصاصی و کپی OTP به کاربر ارائه می‌شوند که روش چاپ آن ارزان‌ترین و پیامکی، گران‌ترین محسوب می‌شود. می‌توانید از طریق این لینک درباره‌ی نحوه‌ی ساخت رمزهای یک‌بار مصرف بیشتر بخوانید.نمونه‌های مشابه در دیگر کشورها:تأیید پرداخت و استفاده از رمزهای یک‌بار مصرف از روش‌های مرسوم بانک‌ها که در ا اپلیکیشن‌های ویژه‌ای را در وب‌سایت خود معرفی کرده‌اند. برای فعال‌کردن رمز پویا نیاز است که افراد به وب‌سایت کارت بانکی خود مراجعه کرده و نسبت به فعالسازی آن اقدام کنند. پس از آن لازم است، هر بار هنگام خرید یا انتقال وجه آنلاین، کاربر هم‌زمان اپلیکیشن مذکور را باز کرده و مدت زمان معینی تا نهایت ۶۰ ثانیه برای آن مشخص می‌کند و سپس تراکنش موردنظر خود را انجام دهد. به این صورت می‌توان اطمینان حاصل کرد که امکان هیچ‌گونه سوءاستفاده از کارت شخص وجود نخواهد داشت. اپلیکیشن بانک‌ها این رمز را با استفاده از الگوریتم پیچیده‌ای تولید می‌کند که دسترسی به آن برای هکر‌ها بسیار پیچیده یا حتی غیرممکن است. به‌علاوه بانک‌ها می‌توانند ازطریق پیامک نیز برای ارسال رمز اقدام کنند. امید است در آینده امکان ارسال کد یک بار مصرف ازطریق USSD (ارسال پیام از طریق کد دستوری) نیز در تمام بانک‌ها فراهم شده تا جمع روش‌های کسب رمز یک‌بار مصرف موجب شود تا تمام کاربران حتی کسانی که گوشی غیرهوشمندی استفاده می‌کنند یا درکل گوشی در اختیار یا در دسترس ندارند، از خدمات غیرحضوری بهره ببرند. علاوه‌بر این، می‌توان روش‌هایی مانند استفاده از اپلیکیشن تأیید هویت برای تمامی بانک‌ها را به کار گرفت تا تمام کارها در یک اپلیکیشن انجام شود. اما مشخص است که هنوز تا آن زمان فاصله داریم.اغلب کشورهای جهان است. بدین معنی که مشتریان بانک‌ها برای خریدهای اینترنتی و واریز وجه بیشتر مواقع ملزم به دریافت رمز یک‌بار مصرف به‌مدت زمان محدود و ازطریق پیامک یا برنامه‌های نرم‌افزاری هستند. بیشتر بانک‌های بزرگ و معتبر جهان مانند بنک آو امریکا خدمات ارسال رمز دوم پویا را ازطریق پیامک به مشتریان خود ارائه می‌دهند. البته سیاست اجبار به استفاده از این روش‌ها هنگام خرید آنلاین در بین بانک‌ها متفاوت است. برای مثال بنک آو امریکا استفاده از رمز یک‌بار مصرف (که آن را SafePass می‌نامد) را از سال ۲۰۱۸ از حالت اجباری خارج کرده است.امیدوارم مطالب فوق به دردتون خورده باشه... mr1021 mr1021 Sat, 28 Dec 2019 11:01:54 +0330